Navigation path

Come può mettere in sicurezza il suo sito web?

Come può mettere in sicurezza il suo sito web?

Sia che si crei il sito web personalmente o ci si avvalga dei servizi di terzi, sarà necessario prestare attenzione al suo sviluppo e alla manutenzione. Affrontare gli incidenti legati alla sicurezza informatica potrebbe avere un notevole impatto sull'attività o sul marchio (per perdita di reputazione del brand), in quanto possono provocare l'interruzione dei servizi, condurre a una perdita di fiducia da parte dei clienti ed eventualmente a sanzioni normative e procedimenti legali. Tali incidenti potrebbero essere furti dei dati dei clienti, alterazioni delle informazioni sulla piattaforma, interruzione dell'attività del sito web, perdita di dati riservati sull'organizzazione, ecc.

Inoltre, è molto importante fare l’inventario in anticipo, prima di eventuali violazioni della sicurezza. Quali informazioni sono fondamentali dal punto di vista della mission della sua organizzazione? Dove sono contenute? Quanto velocemente possono essere ripristinate se vengono prelevate durante un attacco? Dovrebbe eseguire una verifica completa dei suoi sistemi, prendere nota dei componenti più importanti e tenere traccia di tutto. Si assicuri di non essere l’unica persona a conoscenza di tale documento.

Protezione delle informazioni sul sito web

Prima di discutere con i provider host, sarebbe consigliabile riflettere su tre aspetti chiave della sicurezza informaticava, cioè le esigenze di riservatezza, integrità e disponibilità di sito web e servizi, nonché determinare i requisiti del livello di servizio necessari.

Affinché il design di sistema sia sicuro, è necessario richiedere determinate garanzie rigorose e accertare che siano tutelati i seguenti aspetti:
•    riservatezza, cioè protezione di informazioni (per es. numero di carta di credito, dati personali) in modo che non siano divulgate a parti non autorizzate. Ciò può essere attuato, per esempio, definendo un meccanismo di autenticazione adeguato (come le soluzioni di autenticazione a due fattori). Un'altra possibilità prevede l'utilizzo di collegamenti criptati (HTTPS; protocollo di sicurezza SSL) al fine di garantire l'accesso/consentire la lettura di informazioni soltanto alle persone previste;
•    integrità, cioè protezione di informazioni in modo che non siano alterate da parti non autorizzate al fine di garantirne l'accuratezza e l'affidabilità. Eseguire un controllo quotidiano dei file alterati, prevedere i test di sicurezza del sito web e dei servizi (per evitare eventuali attacchi semplici come le SQL injection) oppure attuare un sistema anti-intrusione possono insieme contribuire a raggiungere lo scopo;
•    disponibilità, cioè accertare che il sito web sia sempre pronto e funzionante. A questo proposito, due elementi chiave sono rappresentati dall'implementazione di un sistema di alimentazione di back-up di emergenza e dalla manutenzione rigorosa dell'hardware.

L'accesso ai sistemi di dati dovrà essere concesso unicamente in base all'effettiva necessità al fine di garantire la conformità ai tre aspetti.

Risposta agli incidenti associati alla sicurezza

Dal momento in cui si verifica la violazione, è in gioco la fiducia che i clienti ripongono nell'azienda ed è necessaria una risposta rapida al fine di limitare gli effetti negativi. È importante informare i clienti di quanto avvenuto. Per esempio, in caso di problemi con le password, si dovranno informare i clienti in modo che possano modificarle, poiché spesso vengono utilizzate non soltanto per il sito web dell'azienda in questione.

Come già detto, una volta che si è a conoscenza di ciò che è più importante, bisogna assicurarsi che anche tutti gli attori rilevanti ne siano a conoscenza. A tale scopo, è consigliabile nominare una persona quale proprietario dei sistemi informatici nel caso in cui si rilevi un problema di sicurezza. Questa persona deve essere prontamente disponibile in caso di emergenza e attrezzata per gestire i molti componenti tecnici interni coinvolti nel ripristino successivo a una violazione. 

Si consiglia inoltre di creare una politica di notifica della violazione dei dati (eventualmente inserita nella comunicazione relativa alla privacy), che spieghi modalità e tempistica di notifica ai clienti (per es. con notifica per posta/via e-mail) in caso di violazione dei dati personali. È probabile che, in futuro, questa buona prassi corretta diventi un obbligo legale in tutti i paesi dell'UE (e possa essere accompagnata dall'obbligo di notifica al Garante per la protezione dei dati personali qualora si rilevi la violazione).

Determinare inoltre la causa della violazione. Accertare che ciò sia effettuato in modo che alla fine sia possibile presentare le prove in tribunale (per esempio qualora possa essere stabilito che la violazione non sia avvenuta per carenze delle misure di sicurezza attuate). Laddove le informazioni in questione siano di natura finanziaria, come i dati sulle carte di credito, informare il provider che gestisce le transazioni finanziarie affinché possa adottare le misure necessarie.

In sostanza, ciò che è davvero fondamentale è l’esistenza di un piano attivabile che fornisca misure specifiche e concrete e procedure da seguire in caso di incidente relativo alla sicurezza. Le procedure devono indicare chi ha la responsabilità di condurre le operazioni, come contattare il personale rilevante e quali dati, reti e servizi devono essere ripristinati prioritariamente, oppure chi deve essere avvisato (titolari del trattamento dei dati, clienti o aziende partner) se i loro dati, oppure dati che riguardano le loro reti, sono esposti.

Si osservi che le violazioni della sicurezza possono semplicemente derivare da errore umano/associato al personale e involontario. Provvedere alla formazione adeguata degli eventuali dipendenti affinché possano individuare e segnalare le violazione, nonché ricorrere alla debita prudenza. La negligenza dei dipendenti (per es. a causa di furto di laptop o cellulare) rappresenta una causa importante di incidenti con violazione di dati.

Selezionare il proprio paese e visitare il sito web nazionale del Computer Emergency Response Team (CERT), un gruppo di esperti di sicurezza responsabile della gestione degli incidenti (ad es. segnalare e rispondere alle minacce alla sicurezza), che potrà fornire informazioni sul modo di agire e sulla persona a cui rivolgersi qualora ci si trovi sotto qualsiasi tipo di attacco informatico. Pubblicano inoltre allarmi sulla vulnerabilità e sulle minacce nel paese.

Austria Computer Emergency Response Team Austria: http://www.cert.at/
Belgium Computer Emergency Response Team Belgium: www.cert.be
Download the Belgian Cyber Security Guide: adopt the 10 key security principles, and implement the 10 “must-do” actions.
Bulgaria Computer Emergency Response Team Bulgaria: https://govcert.bg/
Find out more about some good security practices when setting up your website and other related security issues in your country (such as ‘Protecting Your Computer From Malicious Code’ guide (in English only).
Croatia Computer Emergency Response Team Croatia: www.cert.hr/
Cyprus n/a.
Czech Republic Computer Emergency Response Team Czech Republic: www.csirt.cz/
Denmark Computer Emergency Response Team Denmark: www.govcert.dk
Estonia Computer Emergency Response Team Estonia: www.cert.ee
In order to protect your information systems, follow the cyber-security check list  and other guidelines available on the website (Estonian or English).
Finland Computer Emergency Response Team Finland: www.cert.fi
France Computer Emergency Response Team France: www.cert.ssi.gouv.fr
Find out more about simple measures that will make your business more secure, and more (such as ‘Les 10 commandements de la sécurité sur l’internet’).
Germany Computer Emergency Response Team Germany: https://www.cert-bund.de/
Greece Computer Emergency Response Team Greece: http://www.nis.gr
Hungary Computer Emergency Response Team Hungary: http://www.cert-hungary.hu/
Ireland IRISS – Computer Emergency Response Team Ireland: http://www.iriss.ie/
Italia CERT Nazionale: prossimamente
Latvia Computer Emergency Response Team Latvia: www.cert.lv
Visit esidross.lv which gives information on how to protect your computer and to be safe on the Internet (in Latvian only).
Lithuania Computer Emergency Response Team Lithuania: www.cert.lt
Visit http://www.esaugumas.lt which gives information on how to protect your computer and to be safe on the Internet (in Lithuanian only).
Luxembourg Computer Emergency Response Team Luxembourg: http://www.circl.lu/
Malta Computer Emergency Response Team Malta: https://www.mita.gov.mt/en/Security/Pages/Security.aspx
Netherlands Computer Emergency Response Team Netherlands: https://www.ncsc.nl/
Find out more about Good Security Practices when setting up your website and other related security issues in your country.
Poland Computer Emergency Response Team Poland: https://www.cert.pl/
Portugal Computer Emergency Response Team Portugal: https://www.cncs.gov.pt/certpt/
Romania Computer Emergency Response Team Romania: https://cert.ro/
Slovakia Computer Emergency Response Team Slovakia: https://www.csirt.gov.sk/
Slovenia Computer Emergency Response Team Slovenia: https://www.cert.si/
Spain Computer Emergency Response Team Spain: https://www.ccn-cert.cni.es/
Sweden Computer Emergency Response Team Sweden: https://www.cert.se/
United Kingdom Computer Emergency Response Team United Kingdom: https://www.cpni.gov.uk/
Find out more at  about simple measures that will make your business more secure, and more.

 

Country specifics

Suggested country specifics to be covered:

National CERT

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?

Fonti

Protezione delle informazioni sul sito web
•    Samara Hart (n/a), How can I be sure my website is secure, disponibile all’indirizzo http://pixsym.com/blog/website-security/how-can-i-be-sure-my-website-is-secure/
•    Justin Stravarius (2010), 15 great ways to secure your website, disponibile all’indirizzo http://web.appstorm.net/roundups/self-publishing/15-great-ways-to-secure-your-website/
•    Tery Chia (2012), Confidentiality, Integrity, Availability: The three components of the CIA Triad, disponibile all’indirizzo http://security.blogoverflow.com/2012/08/confidentiality-integrity-availability-the-three-components-of-the-cia-triad/, IT Security Community Blog

Risposta agli incidenti associati alla sicurezza
•    Experian® Data Breach Resolution (2013-2014 edition), Data Breach Response Guide
•    Carl Niedbala (2014), How a Data Breach can Destroy your Startup, disponibile all’indirizzo http://foundershield.com/data-breach-can-destroy-startup-infographic/
•    Manuale sul diritto europeo in materia di protezione dei dati: http://www.echr.coe.int/Documents/Handbook_data_protection_ITA.pdf
•    Ezra Steinhardt (2014), EU Article 29 Working Party Publishes Guidance on Data Breach Notification, disponibile all’indirizzo http://www.insideprivacy.com/data-security/data-breaches/eu-article-29-working-party-publishes-guidance-on-data-breach-notifications/, Convington